Hefteya borî Kommersant , ku "bingehên xerîdar ên Street Beat û Sony Center di qada gelemperî de bûn", lê di rastiyê de her tişt ji ya ku di gotarê de hatî nivîsandin pir xirabtir e.
Min berê analîzek teknîkî ya berfireh a vê leaksiyonê kiriye. , ji ber vê yekê em ê li vir tenê li ser xalên sereke biçin.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Pêşkêşkarek din a Elasticsearch bi navnîşan xuya bû ku belaş peyda dibe:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 têketinên ji 16.11.2018ê Mijdara 2019-an heya Adara XNUMX-an, û tê de hene graylog2_1 - têketin ji Adar 2019 heta 04.06.2019/XNUMX/XNUMX. Heya ku gihîştina Elasticsearch girtî be, hejmara tomar tê de ye graylog2_1 mezin bû.
Li gorî motora lêgerînê ya Shodan, ev Elasticsearch ji 12.11.2018-ê Mijdara 16.11.2018-an û vir ve belaş tê peyda kirin (wek ku li jor hatî nivîsandin, navnîşên yekem di têketin XNUMX-ê Mijdara XNUMX-an de ne).
Di qeydan de, li zeviyê gl2_remote_ip Navnîşanên IP-ê 185.156.178.58 û 185.156.178.62 hatin diyarkirin, bi navên DNS srv2.inventive.ru и srv3.inventive.ru:
Min agahdar kir Koma Retail Inventive (www.inventive.ru) di derbarê pirsgirêkê de di 04.06.2019/18/25 demjimêr 22:30 (bi dema Moskowê) û heya demjimêr XNUMX:XNUMX de server "bêdeng" ji gihîştina gelemperî winda bû.
Têketin tê de hene (hemî dane texmîn in, dubare ji hesaban nehatine rakirin, ji ber vê yekê qebareya agahdariya rastîn a rast bi îhtîmalek kêm kêm e):
- zêdetirî 3 mîlyon navnîşanên e-nameyê yên xerîdar ji firotgehên re: Store, Samsung, Street Beat û Lego
- zêdetirî 7 mîlyon jimareyên têlefonê yên xerîdar ji firotgehên re: Store, Sony, Nike, Street Beat û Lego
- zêdetirî 21 hezar cotên têketinê/şîfreyê ji hesabên kesane yên kirrûbirên firotgehên Sony û Street Beat.
- piraniya tomarên bi hejmarên têlefonê û e-nameyê navên tam (pir caran bi latînî) û jimareyên qerta dilsoziyê jî hebûn.
Mînak ji qeyda ku bi xerîdar dikana Nike re têkildar e (hemû daneyên hesas bi tîpên "X" hatine guhertin):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Û li vir mînakek e ku meriv çawa têketin û şîfreyên ji hesabên kesane yên kirrûbiran li ser malperan hatine hilanîn sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Daxuyaniya fermî ya IRG li ser vê bûyerê dikare were xwendin , jêderek jê:
Me nekarî vê xalê paşguh bikin û şîfreyên hesabên kesane yên xerîdar bi yên demkî guheztin, da ku ji karanîna muhtemel a daneyên ji hesabên kesane yên ji bo mebestên xapînok dûr bigirin. Pargîdanî levkirina daneyên kesane yên xerîdarên street-beat.ru piştrast nake. Hemî projeyên Inventive Retail Group ji hêla din ve hatin kontrol kirin. Ti gefên li ser daneyên kesane yên xerîdar nehatin dîtin.
Xerab e ku IRG nikaribe fêhm bike ka çi derketiye û çi ne. Li vir mînakek ji qeyda ku bi xerîdar dikana Street Beat ve girêdayî ye:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Lêbelê, bila em biçin ser nûçeyên bi rastî xirab û rave bikin ka çima ev derdanek daneyên kesane yên xerîdarên IRG ye.
Ger hûn bi hûrgulî li navnîşên vê Elasticsearch-a belaş-berdest mêze bikin, hûn ê di wan de du navan bibînin: readme и unauth_text. Ev nîşanek taybetmendiyek yek ji gelek nivîsarên ransomware ye. Ew li çaraliyê cîhanê bandor li zêdetirî 4 hezar serverên Elasticsearch kir. Dilşad readme vî rengî dibîne:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Dema ku servera bi têketinên IRG-ê bi serbestî gihîştî bû, skrîptek ransomware bê guman gihîştina agahdariya xerîdar bi dest xist û, li gorî peyama ku jê derket, data hate dakêşandin.
Wekî din, gumana min tune ku ev databas berî min hate dîtin û berê hatî dakêşandin. Heta ez bibêjim ku ez ji vê yekê piştrast im. Ne veşartî ye ku databasên weha vekirî bi mebest têne lêgerîn û derxistin.
Nûçeyên der barê derçûn û agahdariya hundurîn her gav li ser kanala min a Telegramê têne dîtin "»: .
Source: www.habr.com